Restricciones de la política de organización para Cloud KMS
Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
En esta página se proporciona información complementaria sobre las restricciones de políticas de organización que le permiten aplicar limitaciones a Cloud Key Management Service. Puedes usar estas restricciones para limitar las ubicaciones de los recursos o los niveles de protección permitidos de las claves de Cloud KMS en todo un proyecto o una organización.
Las siguientes restricciones se pueden aplicar a una política de la organización y están relacionadas con Cloud Key Management Service.
Aplicar ubicaciones de recursos
Nombre de la API:constraints/gcp.resourceLocations
Cuando aplicas la restricción resourceLocations, especificas una o varias ubicaciones. Una vez configuradas, la creación de nuevos recursos (por ejemplo, conjuntos de claves, claves y versiones de claves) se limita a las ubicaciones especificadas.
Las claves de otras ubicaciones que se hayan creado o importado antes de que se aplicara la restricción se podrán seguir usando. Sin embargo, la rotación de claves (creación automatizada de una nueva versión de clave principal) fallará si el resultado es una nueva versión de clave en una ubicación no permitida.
Niveles de protección permitidos
Nombre de la API:constraints/cloudkms.allowedProtectionLevels
Cuando aplicas la restricción allowedProtectionLevels, especificas uno o varios niveles de protección. Una vez configurado, las nuevas claves, versiones de claves y tareas de importación deben usar uno de los niveles de protección especificados.
Las claves con otros niveles de protección creadas antes de que se aplicara la restricción se podrán seguir usando. Sin embargo, la rotación de claves (creación automatizada de una nueva versión de clave principal) fallará si el resultado es una nueva versión de clave con un nivel de protección no permitido.
Consulta información sobre la jerarquía de recursos que se aplica a las políticas de la organización.
Consulta Crear y gestionar políticas de organización para obtener instrucciones sobre cómo trabajar con restricciones y políticas de organización en la consola de Google Cloud .
Consulta Usar restricciones para obtener instrucciones sobre cómo trabajar con restricciones y políticas de organización en gcloud CLI.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-10 (UTC)."],[],[],null,["# Organization policy constraints for Cloud KMS\n\nThis page provides supplemental information about [organization policy](/resource-manager/docs/organization-policy/overview)\nconstraints that let you enforce limitations for Cloud Key Management Service. You can use these\nconstraints to limit resource locations or allowed protection levels for\nCloud KMS keys across an entire project or organization.\n\nYou can also use [CMEK organization policies](/kms/docs/cmek-org-policy) to enforce the use of CMEK in\nyour organization and use organization policies to\n[control key destruction](/kms/docs/control-key-destruction).\n\nCloud KMS constraints\n---------------------\n\nThe following constraints can be applied to an organization policy and relate\nto Cloud Key Management Service.\n\n### Enforce resource locations\n\n**API Name** : `constraints/gcp.resourceLocations`\n\nWhen you apply the `resourceLocations` constraint, you specify one or more\n[locations](/kms/docs/locations#location_types). Once set, creation of new resources (e.g key rings, keys,\nkey versions) is limited to the specified locations.\n\nKeys in other locations, created or imported before the constraint was\napplied, will remain usable. However, [key rotation](/kms/docs/key-rotation) (automated creation of\na new primary key version) will fail if the result would be a new\nkey version in a disallowed location.\n| **Note:** Enabling or disabling `resourceLocations` may take up to 10 minutes to go into effect.\n\n### Allowed protection levels\n\n**API Name** : `constraints/cloudkms.allowedProtectionLevels`\n\nWhen you apply the `allowedProtectionLevels` constraint, you specify one or\nmore [protection levels](/kms/docs/algorithms#protection_levels). Once set, new keys, key versions, and\nimport jobs must use one of the specified protection levels.\n\nKeys with other protection levels, created before the constraint was\napplied, will remain usable. However, [key rotation](/kms/docs/key-rotation) (automated creation of\na new primary key version) will fail if the result would be a new\nkey version with a disallowed protection level.\n| **Note:** Enabling or disabling `allowedProtectionLevels` may take up to 10 minutes to go into effect.\n\nWhat's next\n-----------\n\n- Learn about [CMEK organization policies](/kms/docs/cmek-org-policy) and using organization policies to [control key destruction](/kms/docs/control-key-destruction).\n- Learn about the [resource hierarchy](/resource-manager/docs/cloud-platform-resource-hierarchy#resource-hierarchy-detail) that applies to organization policies.\n- See [Creating and managing organization policies](/resource-manager/docs/organization-policy/creating-managing-policies) for instructions on working with constraints and organization policies in the Google Cloud console.\n- See [Using constraints](/resource-manager/docs/organization-policy/using-constraints) for instructions on working with constraints and organization policies in the gcloud CLI.\n- See the Resource Manager API [reference documentation](/resource-manager/reference/rest) for relevant API methods, such as [`projects.setOrgPolicy`](/resource-manager/reference/rest/v1/projects/setOrgPolicy)."]]
